La comunicación en línea se ha vuelto una parte integral de nuestras vidas, las plataformas de mensajería y colaboración como Discord se han convertido en un refugio para millones de usuarios. Sin embargo, como suele ocurrir en el mundo en línea, también se han convertido en un terreno fértil para ciberdelincuentes que buscan aprovechar cualquier oportunidad para infiltrarse en sistemas ajenos y robar información confidencial.
Uno de los métodos más recientes y peligrosos que ha surgido es la propagación del Remote Control System (RCS) conocido como Remcos RAT a través de Discord. En este artículo, exploraremos en detalle qué es Remcos RAT, cómo funciona a través de Discord y qué medidas podemos tomar para protegernos de esta amenaza cibernética.
En principio, Remcos RAT, que significa "Control y Vigilancia Remota", es un software de administración remota desarrollado por la compañía Breaking Security. Sin embargo, desde hace tiempo, los ciberdelincuentes han empleado este programa con el fin de espiar y asumir el control de computadoras con sistema operativo Windows. Por ejemplo, en el año 2020, documentamos casos en los que Remcos RAT se utilizó en correos electrónicos maliciosos que se aprovechaban de los retrasos comunes en las entregas de bienes durante la pandemia de coronavirus.
Remcos RAT tiene la capacidad de recopilar información sobre la víctima y su ordenador, funcionando como una puerta trasera mediante la cual los atacantes pueden tomar el control absoluto del sistema. Estos individuos pueden descargar y ejecutar software malicioso adicional, extraer datos de cuentas, registrar las actividades del usuario y realizar otras acciones perniciosas.
Te podrá interesar leer: Troyanos de Acceso Remoto: Software Malicioso (RAT)
Los atacantes han perfeccionado su estrategia en el uso de cartas maliciosas, y su enfoque actual no es necesariamente sorprendente. La artimaña consiste en hacerse pasar por un nuevo cliente interesado en adquirir productos o servicios, pero con la excusa de aclarar ciertos detalles, como la disponibilidad o los precios de los artículos, el cumplimiento de ciertos criterios o requisitos, o aspectos similares.
El factor crucial aquí es que, para obtener la información requerida, el destinatario de la carta debe hacer clic en un enlace que supuestamente lo llevará a una lista de dichos criterios o requisitos. En un intento de ser más persuasivos, los ciberdelincuentes suelen preguntar sobre la rapidez de la entrega de la mercancía o las condiciones para la entrega internacional. Sin embargo, bajo ninguna circunstancia se debe seguir el enlace, ya que no conduce a una lista, sino a un script malicioso.
Los atacantes han encontrado una manera astuta de almacenar su script malicioso en un lugar que pasa desapercibido. Los enlaces utilizados a menudo tienen direcciones que se asemejan a https://cdn.discordapp.com/attachments/.
Discord, por su parte, es una plataforma de comunicación completamente legítima que permite a los usuarios intercambiar mensajes instantáneos, realizar llamadas de audio y video, y, lo que es más relevante en este contexto, enviar diversos archivos. Un usuario de Discord tiene la capacidad de hacer clic en cualquier archivo enviado a través de esta aplicación y obtener un enlace que permitirá su acceso a usuarios externos. Esto es especialmente útil para compartir rápidamente archivos a través de otros servicios de mensajería.
Discord se emplea activamente en diversas comunidades de jugadores, así como en el ámbito empresarial, donde se utiliza para la comunicación entre equipos, departamentos e incluso con los clientes. Debido a esta legitimidad, los sistemas que analizan el contenido malicioso en correos electrónicos a menudo no detectan como sospechosos los enlaces que conducen a archivos almacenados en los servidores de Discord.
Como resultado, si el destinatario de la carta decide seguir el enlace mencionado, terminará descargando un script JavaScript malicioso que finge ser un archivo de texto. Una vez que la víctima abre este archivo, el script malicioso inicia PowerShell, que a su vez descarga el software malicioso conocido como Remcos RAT en la computadora del usuario, dejando su sistema vulnerable a una serie de amenazas.
Te podrá interesar leer: Discord: Epicentro de Malware y APTs
Para garantizar la protección de tu empresa contra la amenaza del malware Remcos, es esencial seguir algunas medidas clave. Aquí te presentamos algunas recomendaciones para mantener un entorno seguro:
Soluciones de Seguridad Confiables: Se recomienda el uso de soluciones de seguridad confiables tanto a nivel de la puerta de enlace de correo como en todos los dispositivos de trabajo que tengan acceso a Internet. De esta manera, los correos electrónicos maliciosos pueden ser detectados antes de llegar a las bandejas de entrada de los trabajadores. Incluso si los atacantes inventan nuevos métodos de entrega, las soluciones de protección de terminales impedirán su descarga.
Protección Integral: Asegúrate de que tu empresa cuente con una protección integral en todos los puntos de acceso a la red. Esto incluye servidores de correo electrónico, estaciones de trabajo, servidores de archivos y cualquier otro dispositivo conectado a Internet.
Detección Específica: Con el fin de detectar y eliminar eficazmente la amenaza de Remcos RAT, utiliza soluciones de seguridad que identifiquen esta amenaza con precisión. Por ejemplo, Kaspersky Endpoint Security reconoce a Remcos RAT como Backdoor.MSIL.Remcos o Backdoor.Win32.Remcos.
Actualizaciones Constantes: Mantén todas tus soluciones de seguridad actualizadas para garantizar que estén equipadas con las últimas definiciones y capacidades de detección de amenazas.
Educación del Personal: Educa a tu personal sobre las prácticas seguras de correo electrónico y cómo reconocer señales de correos electrónicos maliciosos. La capacitación de los trabajadores es una defensa crucial contra las amenazas cibernéticas.
Monitoreo Continuo: Implementa un sistema de monitoreo continuo para detectar y responder rápidamente a cualquier actividad sospechosa en su red.
Siguiendo estas prácticas de seguridad y utilizando soluciones confiables, puedes mantener la seguridad de tu empresa y protegerla contra la amenaza del malware Remcos y otras ciberamenazas. La prevención y la preparación son fundamentales en la lucha contra el cibercrimen.